使用本地安全策略加强w i n d o w s主机整体防御
Company Document number:WUUT-WUUY-WBBGB-BWYTT-1982GT
项目二
使用本地安全策略加强windows主机整体防御
【项目描述】
金山顶尖信息技术公司办公网中有300台计算机(Windows系统)。网络中计算机之间互相连接,形成共享网络,实现公司网络资源共享。。
为保护办公网安全,保证网络系统健康高速运行,金山顶尖信息技术公司信息中心,要求办公网要求所有的本地用户必须配置计算机本地安全策略,保护系统安全。
【项目分析】
在存放数据的桌面系统中设置本地安全策略。通过以下策略来加固桌面系统:
1)禁止枚举账号
2)指派本地用户权利
3) IP策略
4)密码安全
【知识准备】
1)禁用枚举账号的意义
一般来说,黑客攻击入侵,大部分利用漏洞,然后提升权限,成为管理员,这一切都跟用户帐号紧密相连。一般的黑客要攻击Windows 2000/XP等系统,必须要知道账号和密码。而账号更为关键,那么如何来避免这种情况的发生呢
我们可以利用禁止枚举帐号来限制黑客攻击我们的账户和密码。
由于Windows 2000/XP的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,但是,任何一个远程用户通过同样的方法都能得到账户列表,使用暴力法破解账户密码后,对我们的电脑进行攻击,所以有必要禁止枚举帐号,我们可以通过修改注册表和设置本地安全策略来禁止。
2)指派本地用户权利
在本地安全策略中可以指派本地用户的权利,比如说哪些用户组可以登录到此终端,哪些用户组或者用户不能登录到此终端中。还可以设置哪些用户组或者用户可以关闭此计算机等等。
3) IP策略
IP安全策略是一个给予通讯分析的策略,它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后决定是允许还是拒绝通讯的传输,它弥补了传统TCP/IP设计上的"
随意信任"重大安全漏洞,可以实现更仔细更精确的TCP/IP安全,当我们配置好IP安全策略后,就相当于拥有了一个免费但功能完善的个人防火墙。
4)密码安全
如何设置密码安全,可以利用账号安全策略来进行保护密码,防止密码被破解:
Windows桌面系统中,用户账号的安全策略默认是关闭的。但要想设定安全的桌面系统,必须开启用户账号的安全策略,以下是用户账号安全策略的解释:
●弱口令:在互联网术语中,弱口令我们经常会在一些资料中看到,什么是弱口令,弱口令是
指仅包含简单数字和字母的口令,例如“123”、“abc”等。
●密码长度:密码字符的长度。我们推荐密码的长度至少八位。建议10位以上。
●密码复杂性:密码由大小写字母,数字,特殊字符组成。把他们进行组合的复杂程度我们称
为密码复杂性。我们推荐密码复杂性需求至少组成密码字符应该是大小写字母,数字,特殊字符这四种当中的三种。
●密码生存周期:也被称为密码有效期。通常情况下,一个密码是存在有效时间的,比如运行
在工作组中的WinXP操作系统的密码,默认是0。意味着密码永不过期。如密码存在于AD
目录中,那么密码的生存周期是7天。在密码生存周期里,包含二种类型,一个是密码最长使用周期期限,另一个是密码最短使用期限。
●强制密码历史:强制密码历史是指如果要更改密码,则密码不能是之前设置过的几个密码。
例如在更改密码之前设置的密码从近到远依次是123,456,789,如强制密码历史设置为
2,那么密码就不能改成之前的2次密码,即123,456。
【项目实施】
(一)、项目拓扑
图1-1 任务三项目实施拓扑
(二)、项目设备
计算机(一台); Windows XP(1套)。
(三)、操作步骤
〖步骤1 〗新建账户Bob,设置Bob密码,这里密码设置为123。
开始——我的电脑——在我的电脑---单击右键---选择管理选项——进入计算机管理界面——打开本地用户和组标签——单击右键---选择新建用户,见下图
在新用户标签上,填入用户名bob,密码输入123,点击创建,则新用户可以建立。
〖步骤2 〗设置本地策略---密码安全
1)首先进入本地安全策略配置界面
开始——控制面板——性能与维护——管理工具——双击本地安全策略。
在安全设置标签的账户策略——密码策略中---设置密码策略:
2)双击--密码必须符合复杂性要求,点击启用。
3)之后,再点击密码长度最小值,进入此标签。这里我们设置字符为7
4) 开始——我的电脑——在我的电脑上---单击右键---选择管理选项——进入计算机管理界面
——打开本地用户和组标签——单击右键----选择新建用户。
这里建立账号Mary,输入密码123,点击创建。
点击创建后,发现无法创建此账号。见下图:
创建失败原因,是密码不符合密码复杂性要求及密码长度。
5)回到新用户界面,密码长度设置成7位,密码设置成123@qwe,再次点击创建
这次创建成功,下图可见新建成功Mary账户。
Windows操作系统安全配置方案 一、物理安全 服务器应当放置在安装了监视器的隔离房间内,并且监视器应当保留15天以内的录像记录。另外,机箱、键盘、抽屉等要上锁,以保证旁人即使在无人值守时也无法使用此计算机,钥匙要放在安全的地方。 二、停止Guest帐号 在[计算机管理]中将Guest帐号停止掉,任何时候不允许Guest帐号登录系统。为了保险起见,最好给Guest帐号加上一个复杂的密码,并且修改Guest帐号属性,设置拒绝远程访问。 三、限制用户数量 去掉所有的测试帐户、共享帐号和普通部门帐号,等等。用户组策略设置相应权限、并且经常检查系统的帐号,删除已经不适用的帐号。 很多帐号不利于管理员管理,而黑客在帐号多的系统中可利用的帐号也就更多,所以合理规划系统中的帐号分配。 四、多个管理员帐号 管理员不应该经常使用管理者帐号登录系统,这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到,应该为自己建立普通帐号来进行日常工作。 同时,为了防止管理员帐号一旦被入侵者得到,管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限,不过因此也带来了多个帐号的潜在安全问题。 五、管理员帐号改名 在Windows 2000系统中管理员Administrator帐号是不能被停用的,这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。 不要将名称改为类似Admin之类,而是尽量将其伪装为普通用户。 六、陷阱帐号 和第五点类似、在更改了管理员的名称后,可以建立一个Administrator的普通用户,将其权限设置为最低,并且加上一个10位以上的复杂密码,借此花费入侵者的大量时间,并且发现其入侵企图。
* 主办部门:系统运维部 执笔人: 审核人: XXXXX 信息安全管理策略V0.1 XXX-XXX-XX-01001 2014年3月17日
[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXX所有,受到有关产权及版权法保护。任何个人、机构未经XXXXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 文件版本信息说明 记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。 阅送范围 内部发送部门:综合部、系统运维部
目录 第一章总则 (1) 第二章信息安全方针 (1) 第三章信息安全策略 (2) 第四章附则 (13)
第一章总则 第一条为规范XXXXX信息安全系统,确保业务系统安全、稳定和可靠的运行,提升服务质量,不断推动信息安全工作的健康发展。根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》 (GB/T22239-2008)、《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071—2012)、《金融行业信息系统信息安全等级保护测评指南》(JR/T 0072—2012),并结合XXXXX实际情况,特制定本策略。 第二条本策略为XXXXX信息安全管理的纲领性文件,明确提出XXXXX在信息安全管理方面的工作要求,指导信息安全管理工作。为信息安全管理制度文件提供指引,其它信息安全相关文件在制定时不得违背本策略中的规定。 第三条网络与信息安全工作领导小组负责制定信息安全 管理策略。 第二章信息安全方针 第四条 XXXXX的信息安全方针为:安全第一、综合防范、预防为主、持续改进。 (一)安全第一:信息安全为业务的可靠开展提供基础保障。把信息安全作为信息系统建设和业务经营的首要任务;
Windows XP系统的安全配置方案 1.关闭常见危险端口 (1)135端口 主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。 关闭135端口: 1. 单击“开始”——“运行”,输入“dcomcnfg”,单击“确定”,打开组件服务。 2. 在弹出的“组件服务”对话框中,选择“计算机”选项。 3. 在“计算机”选项右边,右键单击“我的电脑”,选择“属性”。 4. 在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式COM”前的勾。 5. 选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮。 6. 单击“确定”按钮,设置完成,重新启动后即可关闭135端口。 (2) 139端口 IPC$漏洞使用的是139,445端口。IPC$漏洞其实就是指微软为了方便管理员而安置的后门-空会话。 关闭139端口: 本地连接—>Internet协议(TCP/IP)—>右击—>属性—>选择“TCP/IP”,单击“高级”—>在“WINS”选项卡中选择禁用“TCP/IP的NetBLOS”。 (3) 445端口 和139端口一起是IPC$入侵的主要通道。有了它就可以在局域网中轻松访问各种共享文件夹或共享打印机。黑客们能通过该端口共享硬盘,甚至硬盘格式化。 关闭445端口: 运行-> regedit -> HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\NetBT\Parameters 建一个名为SMBDeviceEnabled 的REG-DWORD类型的子键,键值为0。 (4) 3389端口 远程桌面的服务端口,可以通过这个端口,用“远程桌面”等连接工具来连接到远程的服务器。 关闭445端口: 我的电脑—>右击—>属性—>去掉“远程协助”和“远程桌面”前的勾。 2. 删除IPC$空连接 运行—>regedit—>HKEY-LOCAL_MACHINE\ SYSTEM\CurrentControSet\Control\LSA 将数值名称RestrictAnonymous的数值数据由0改为1。 3. 账号密码的安全原则 禁用guest账号,将系统内置的Administrator账号改名(越复杂越好,最好是中文的),设置密码最好为8位以上的字母+数字+符号的组合。 4. 删除共享
公司信息安全策略管理制度(试行) 第一章总则 第一条为提高公司信息安全管理水平,建立、健全信息安全管理体系,贯彻执行GB/T 22080-2008《信息安全管理体系·要求》(idt ISO/IEC27001:2005),保障公司信息系统业务的正常进行,防止由于信息安全事件导致的公司损失,确保全体员工理解信息安全的重要性,执行信息安全管理体系文件的要求,特制定本制度。 第二条本制度是公司信息安全管理的纲领性文件,用于贯彻企业的信息安全管理方针、目标,是所有从事、涉及信息安全相关活动人员的行为准则,是向客户、向社会、向认证机构提供本公司信息安全管理保证能力的依据。 第三条运营改善部在得到两化融合管理委员会批准的前提下负责本制度的更改和建立,运营改善部定期对其适用性、持续性、有效性进行评审,汇总更改需求和建议并上报。 第四条本制度适用于公司所属各单位。 第二章职责分工 第五条公司信息安全管理工作由两化融合管理委员会指导和批准,委员会下设信息安全工作推进组,并设立信息安全顾问团。
第六条信息安全工作推进组由运营改善部信息安全专业人员和公司各部门主管任命的信息化专业员组成。 第七条信息安全顾问组由提供服务的外部安全产品公司或外聘的信息安全顾问组成。 第八条信息安全工作推进组职责 (一)建立信息安全管理方针、目标和策略; (二)评估信息安全顾问组意见的可用性; (三)确定公司信息资产风险准则和信息安全事件处置措施; (四)组织并确保全公司信息安全教育活动的落实; (五)监控公司的信息安全情况,监督检查信息安全活动的落实情况,并定期向两化融合管理委员会汇报; (六)向两化融管理委员会提出实现信息安全目标和符合信息安全方针的改进需要,推行各项信息安全策略要求和控制措施; (七)负责公司信息安全内部、外部评估的具体安排; (八)推进组中各部门安全专员负责对本部门信息资产进行汇总上报,负责本部门信息安全事件的应急处理,收集、上报与本部门相关的信息安全管理方面的要求,同时负责在本部门内传达、落实公司信息安全管理策略的要求。 第九条信息安全顾问组职责 (一)提供信息安全相关产品的使用帮助和更新;
Windows 安全配置规范 2010年11月
第1章概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 第2章安全配置要求 2.1账号 编号:1 要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 根据系统的要求,设定不同的账户和账户组。 检测方法1、判定条件 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不 同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”:
查看根据系统的要求,设定不同的账户和账户组编号:2 要求内容应删除与运行、维护等工作无关的账号。 操作指南1.参考配置操作 A)可使用用户管理工具: 开始-运行-compmgmt.msc-本地用户和组-用户B)也可以通过net命令: 删除账号:net user account/de1 停用账号:net user account/active:no 检测方法1.判定条件 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。 注:主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号:3 要求内容重命名Administrator;禁用guest(来宾)帐号。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: Administrator->属性-> 更改名称 Guest帐号->属性-> 已停用 检测方法1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 缺省帐户->属性-> 更改名称
Windows2008系统安全设置 编写:技术支持李岩伟 1、密码设置复杂一些,例如:******** 2、更改administrator账户名称,例如:南关区社管服务器administrator更改为 *******,更改方法: 开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户:重命名系统管理员---右键---属性---更改名称;
3、更改guest账户名称,例如更改为********,更改方法: 开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户:重命名来宾帐户---右键---属性---更改名称; 4、新建一无任何权限的假Administrator账户 管理工具→计算机管理→系统工具→本地用户和组→用户 新建一个Administrator帐户作为陷阱帐户,设置超长密码(例如:*********),并去掉所有用户组 更改描述:管理计算机(域)的内置帐户 5、更改远程桌面端口: 开始—运行:regedit,单击“确定”按钮后,打开注册表编辑窗口; 找到: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 双击右边PortNumber——点十进制——更改值为:XXX(例如22)——点确定。 然后找到: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 双击右边PortNumber——点十进制——更改值为:XXX(例如22)——点确定。 6、设置不显示最后的用户名,设置方法: 开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---交互式登录:不显示最后的用户名---右键---属性---已启用---应用
Windows 操作系统安全防护 强制性要求 二〇一四年五月
目录 1.系统用户口令及策略加固1 1.1.系统用户口令策略加固 1 1.2.用户权限设置 1 1.3.禁用Guest(来宾)帐户 2 1.4.禁止使用超级管理员帐号 3 1.5.删除多余的账号 4 2.日志审核策略配置4 2.1.设置主机审核策略 4 2.2.调整事件日志的大小及覆盖策略 5 2.3.启用系统失败日志记录功能 5 3.安全选项策略配置6 3.1.设置挂起会话的空闲时间 6 3.2.禁止发送未加密的密码到第三方SMB 服务器
6 3.3.禁用对所有驱动器和文件夹进行软盘复制和访问 7 3.4.禁止故障恢复控制台自动登录 7 3.5.关机时清除虚拟内存页面文件 7 3.6.禁止系统在未登录前关机 8 3.7.不显示上次登录的用户名 8 3.8.登录时需要按CTRL+ALT+DEL 8 3.9.可被缓存的前次登录个数 9 3.10. 不允许SAM 帐户和共享的匿名枚举 (9) 3.11.不允许为网络身份验证储存凭证或.NET Passports 9 3.12. 如果无法记录安全审核则立即关闭系统 (10) 3.13. 禁止从本机发送远程协助邀请 (10) 3.14. 关闭故障恢复自动重新启动 (11) 4.用户权限策略配置11 4.1.禁止用户组通过终端服务登录 11 4.2.只允许管理组通过终端服务登录 11
4.3.限制从网络访问此计算机 12 5.用户权限策略配置12 5.1.禁止自动登录 12 5.2.禁止光驱自动运行 12 5.3.启用源路由欺骗保护 13 5.4.删除IPC 共享 13 6.网络与服务加固14 6.1.卸载、禁用、停止不需要的服务 14 6.2.禁用不必要进程,防止病毒程序运行 15 6.3.关闭不必要启动项,防止病毒程序开机启动 24 6.4.检查是否开启不必要的端口 34 6.5.修改默认的远程桌面端口 34 6.6.启用客户端自带防火墙 35 6.7.检测DDOS 攻击保护设置
Windows Server 2008安全配置基础 一、及时打补丁 二、阻止恶意Ping攻击 我们知道,巧妙地利用Windows系统自带的ping命令,可以快速判断局域网中某台重要计算机的网络连通性;可是,ping命令在给我们带来实用的同时,也容易被一些恶意用户所利用,例如恶意用户要是借助专业工具不停地向重要计算机发送ping命令测试包时,重要计算机系统由于无法对所有测试包进行应答,从而容易出现瘫痪现象。为了保证Windows Server 2008服务器系统的运行稳定性,我们可以修改该系统的组策略参数,来禁止来自外网的非法ping攻击: 首先以特权身份登录进入Windows Server 2008服务器系统,依次点选该系统桌面上的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,进入对应系统的控制台窗口; 其次选中该控制台左侧列表中的“计算机配置”节点选项,并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows 防火墙——本地组策略对象”选项,再用鼠标选中目标选项下面的“入站规则”项目; 接着在对应“入站规则”项目右侧的“操作”列表中,点选“新规则”选项,此时系统屏幕会自动弹出新建入站规则向导对话框,依照向导屏幕的提示,先将“自定义”选项选中,再将“所有程序”项目选中,之后从协议类型列表中选中“ICMPv4”,如图3所示;
协议类型列表中选中“ICMPv4”, 之后向导屏幕会提示我们选择什么类型的连接条件时,我们可以选中“阻止连接”选项,同时依照实际情况设置好对应入站规则的应用环境,最后为当前创建的入站规则设置一个适当的名称。完成上面的设置任务后,将Windows Server 2008服务器系统重新启动一下,这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping 测试攻击了。 小提示:尽管通过Windows Server 2008服务器系统自带的高级安全防火墙功能,可以实现很多安全防范目的,不过稍微懂得一点技术的非法攻击者,可以想办法修改防火墙的安全规则,那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。为了阻止非法攻击者随意修改Windows Server 2008服务器系统的防火墙安全规则,我们可以进行下面的设置操作: 首先打开Windows Server 2008服务器系统的“开始”菜单,点选“运行”命令,在弹出的系统运行文本框中执行“regedit”字符串命令,打开系统注册表控制台窗口;选中该窗口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项,同时从目标分支下面选中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallR ules注册表子项,该子项下面保存有很多安全规则;
论钢铁企业安全管理的策 略参考文本 In The Actual Work Production Management, In Order To Ensure The Smooth Progress Of The Process, And Consider The Relationship Between Each Link, The Specific Requirements Of Each Link To Achieve Risk Control And Planning 某某管理中心 XX年XX月
论钢铁企业安全管理的策略参考文本使用指引:此安全管理资料应用在实际工作生产管理中为了保障过程顺利推进,同时考虑各个环节之间的关系,每个环节实现的具体要求而进行的风险控制与规划,并将危害降低到最小,文档经过下载可进行自定义修改,请根据实际需求进行调整与使用。 随着我国经济的迅速发展以及社会的不断变革,与企业 发展息息相关的安全生产目前备受党和国家的关注,尤其是 钢铁企业。在“安全第一、预防为主,综合治理”工作方针 的指导下,目前行业的安全生产管理已取得明显绩效,在肯定 成绩的同时,我们仍要清醒的认识到,企业的安全生产事故还 是没有完全得到有效地遏制,因此,我们有必要深入思考如何 创新钢铁企业的安全管理策略。 一、我国钢铁企业安全管理存在的主要问题 一是安全管理基础依然薄弱。部分企业存在“重生 产、轻安全”的思想倾向,不能始终保持对安全工作的高度 警惕,对安全管理重视不够、管控不严,安全措施落实不到位, 存在麻痹松懈和盲目乐观思想;对应用新项目、新工艺、新
材料、新设备所带来的新隐患、新情况、新问题认识不足,辨识不明,制定的组织、技术措施不周密,技术交底不细致,控制事故发生的能力亟待提高。 二是设备设施本质安全化水平不高。据统计,某钢铁企业作业现场安全督察结果表明,每年发现不符合中,物的不安全状态和作业环境不良两项占不符合总数的80%以上。特别是煤气管网腐蚀老化严重,不能实现煤气运行在线监测;部分生产设备(如皮带机)安全防护设施不够完善,消除物的不安全状态、改善作业环境是今后体系运行需要改进的重点。 三是职工安全素质有待提高。少部分职工安全知识不够,安全意识不强,安全能力不足,对现场存在的危险源辨识不够充分,执行规程存在偏差,习惯性违章依然存在,离作业规范化、上岗标准化还有较大的差距。 四是相关方管理方面存在漏洞。一方面,相关方单位安全管理基础薄弱,相关方人员流动频繁,安全素质和操作能力
Windows系统安全配置基线
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 第2章安装前准备工作 (1) 2.1需准备的光盘 (1) 第3章操作系统的基本安装 (1) 3.1基本安装 (1) 第4章账号管理、认证授权 (2) 4.1账号 (2) 4.1.1管理缺省账户 (2) 4.1.2删除无用账户 (2) 4.1.3用户权限分离 (3) 4.2口令 (3) 4.2.1密码复杂度 (3) 4.2.2密码最长生存期 (4) 4.2.3密码历史 (4) 4.2.4帐户锁定策略 (5) 4.3授权 (5) 4.3.1远程关机 (5) 4.3.2本地关机 (6) 4.3.3隐藏上次登录名 (6) 4.3.4关机清理内存页面 (7) 4.3.5用户权利指派 (7) 第5章日志配置操作 (8) 5.1日志配置 (8) 5.1.1审核登录 (8) 5.1.2审核策略更改 (8) 5.1.3审核对象访问 (8) 5.1.4审核事件目录服务器访问 (9) 5.1.5审核特权使用 (9) 5.1.6审核系统事件 (10) 5.1.7审核账户管理 (10) 5.1.8审核过程追踪 (10) 5.1.9日志文件大小 (11) 第6章其他配置操作 (11)
6.1共享文件夹及访问权限 (11) 6.1.1关闭默认共享 (11) 6.2防病毒管理 (12) 6.2.1防病毒软件保护 (12) 6.3W INDOWS服务 (12) 6.3.1 系统服务管理 (12) 6.4访问控制 (13) 6.4.1 限制Radmin管理地址 (13) 6.5启动项 (13) 6.4.1关闭Windows自动播放功能 (13) 6.4.3配置屏保功能 (14) 6.4.4补丁更新 (14) 持续改进 (15)
电力安全监督标准化管理策略 摘要随着电力企业规模在不断扩大,提高了人们生活质量水平,增加了电需求量,但随之而来的是电力生产危险的加大,在这种情形下,需要电力企业对电力安全监督标准化管理落实到位,控制与监督电力生产中的所有环节,确保电力生产安全,防止不良因素影响安全生产。基于此,本文对电力安全监督标准化管理的意义进行了阐述,分析了电力安全生产中存在的问题,并提出了相应的解决策略,从而加强了电力安全监督标准化管理。 关键词电力安全;监督标准;管理策略 电力安全监督管理指的是安全管理施工现场和施工时每一个工作人员。在电力建设工程中,安全监督管理具有举足经重的作用,将安全监督管理做好,可确保电力工程的效率。建设工程的实施是离不开安全管理,只有以安全为核心,才能后确保工程效率、进度和质量。推动电力企业的发展。 1 简述电力安全监督标注化管理意义 1.1 监督电力现场安全生产 想要电力安全监督标准化管理能够发挥出最大程度的功能,安全监督管理电力生产的主要内容为[1]:对生产人员、现场进行监督,充分了解电力生产安全监督管理的困难点、侧重点,从而制订的监督管理方案具有计划和针对性,将该方案落实到位对电力生产展开全面性的排查,以便第一时间把安全隐患问题找出加以解决,为电力安全生产提供保障。 1.2 规划监督管理的长期计划 利用制定的长期计划,能够让所有的管理工作有目标的进行,为达成电力生产安全奠定有利的基础。固然,为了确保安全监督管理计划的应用价值会更高,需要将安全监督、电力生产两者的实际状况相结合,从而使制定的计划符合电力生产安全规范。 1.3 标准化评定安全监督管理 落实标准化评定安全全监督管理,对安全监督管理存在的漏洞起到了弥补的作用,同时也可对管理流程进行优化,使管理效果得到了有效的提升。其主要内容有如下方面[2]:①标准化评价机制的构建,也就是根据安全监督管理的实际现状,制定合理的评价制度和标准,以此作为基础,结合内部自护评定、外部审核两种方法,实行公正公平的评价管理工作;②选择动态循环模式管理、规划,在各项管理工作落实中,按照电力循环的特征,规划各项管理工作,同时检查落实各工作的状况,继而适宜的调节各项工作,以达到电力安全监督标准化管理的目的。
Windows Server 2008 R2常规安全设置及基本安全策略 比较重要的几部 1.更改默认administrator用户名,复杂密码 2.开启防火墙 3.安装杀毒软件 1)新做系统一定要先打上补丁 2)安装必要的杀毒软件 3)删除系统默认共享 4)修改本地策略——>安全选项 交互式登陆:不显示最后的用户名启用 网络访问:不允许SAM 帐户和共享的匿名枚举启用 网络访问: 不允许存储网络身份验证的凭据或.NET Passports 启用 网络访问:可远程访问的注册表路径和子路径全部删除 5)禁用不必要的服务 TCP/IP NetBIOS Helper、Server、Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation 6)禁用IPV6 server 2008 r2交互式登录: 不显示最后的用户名 一、系统及程序 1、屏幕保护与电源 桌面右键--〉个性化--〉屏幕保护程序,屏幕保护程序选择无,更改电源设置选择高性能,选择关闭显示器的时间关闭显示器选从不保存修改 2、配置IIS7组件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite 环境。在这里我给大家可以推荐下阿里云的服务器一键环境配置,全自动安装设置很不错的。点击查看地址 二、系统安全配置 1、目录权限 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限 2、远程连接 我的电脑属性--〉远程设置--〉远程--〉只允许运行带网络超级身份验证的远程桌面的计算机
电力系统继电保护安全管理策略 摘要:在电力系统的运行过程中,继电保护是比较核心的方面,而相对应的继 电保护安全管理工作的有效实施能够较大程度上提升整个电力系统的运行效果, 保障其能够得到较好的贯彻落实。随着当前电力系统的不断发展和进步,相对应 的继电保护也有了一些新的发展和改进,尤其是对于继电保护来说,虽然其确实 有效地提升了继电保护的应用效果,但是相对应的安全管理工作也应该引起高度 的重视,如此才能够最大程度上提升其应用的价值水平。 关键词:关键词:电力系统继电保护安全管理 继电保护是配电装置中重要的组成部分,能够对故障进行迅速诊断与处理。 电力系统继电安全管理工作不只是某一个方面的问题,而是关系到了整体系统安全,需要工作中予以重视。本文就电力系统中关于继电保护的安全管理作简要阐述。 1电力系统继电保护安全管理价值 电力系统继电保护安全管理的应用价值主要表现在电力系统继电保护的应用 保障效果上。对于电力系统的正常运行来说,当前继电保护已经成为了必不可少 的重要方面,基于这种继电保护的应用来说,电力系统继电保护已经成为了极为 重要的方式,一旦该电力系统继电保护出现了问题,必然会造成极大的损伤,甚 至会导致电力系统的中断。因此,采取恰当的安全管理手段,针对电力自动化继 电保护系统进行控制和把关,切实保障其能够正常有序的运转也就显得极为必要,值得进行深入的研究。 2电力系统继电保护安全管理现状 近年来,电气技术突飞猛进,电力系统继电保护采用了更新的现代化技术, 装置性能大幅提高,功能更加完善,可靠性更高,安装、调试更加便捷。在电力 系统中,继电保护的作用十分重要,利用继电保护装置可以实现对电网的保护和 提高完善对电力系统的监测、故障预警、自动化控制等等。 电力系统日趋庞杂,电力系统需要积极适应现阶段快速发展的形势,电力系 统继电保护不仅需要不断完善功能,同时也需要加强其安全防护、抗干扰等方面 的能力。虽然有国网公司统一规范要求,但是依然存在各设备厂家产品质量、技 术水平、制造工艺等参差不齐的问题,并随着供电规模的扩大以及系统结构的日 趋复杂,电力系统继电保护面对问题愈来愈多。对于继电保护安全管理如何迎接 挑战,将出现的种种问题解决,将损失减小到最低,需要不断加大技术研发力度,采取有效措施排除一切可能存在的故障、问题或缺陷,保障设备安全稳定运行。 3变电站继电保护安全管理措施 3.1合理配置继电保护装置 继电保护装置是否合理,对于电网的有效运行有较大的影响,继电保护装置 在投入使用之前,要对设备部件的出厂试验数据、检测合格数据、型式试验数据 等信息进行记录;同时要加设备整个过程的管理,拒绝投入不合格设备,确保继 电保护装置有效、安全地使用。 3.2完善电力继电保护装置图纸,并对其图纸进行科学管理 电力企业要想有效的提升电力继电保护装置的安全管理效率,电力企业则应 结合实际的情况,完善电力继电保护装置的图纸,在图纸中提出明确的安全管理 要求和标准,进而确保工作人员严格按照图纸上的要求,科学规范的调试电力继 电保护装置。在此过程中,电力企业一定要做好图纸的保护,如果图纸保存不当,
升Win d o w s 系统安全性的组策略设置 有人将组策略比作深藏在系统中的“大内高手”,笔者觉得这个比喻的非常恰当的。组策略确实有其他第三方安全软件所无法比拟的优势,这不仅是其与Win dows系统的密切 “关系”,更在于它强大的安全功能。除了可通过其进行系统配置,而且可对系统中几乎所有的软硬件实施管理,全方位地提升系统安全。到目前为止,似乎没有任何一款第三方软件可提供如果多的配置项。何况随着Win dows系统的更新换代,组策略也是越来越强大了,比如在Windows 7中就增加了许多Vista没有的安全项。本文就以当前主流的Vista系统为例,就Windows组策略的安全特性进行一番比较深入的解析。 为了便于说明,笔者依据组策略的安全配置功能将其划分为三部分:系统核心安全配置、应用程序和设备限制、In ternet Explorer(IE)安全。下面就以此为线索,分别谈谈组策略的安全特性。 1、系统核心安全配置 与系统核心安全相关的组策略设置项主要在“计算机配置f Win dows配置—安全配置”节点下。 (1) .账户策略 对于组策略的这一部分大家应该非常熟悉,因为在这里可以设置密码和账户的锁定策略。例如,在这部分组策略中,我们可以设置密码最小长度或者密码需要包含复杂字符。如果在链接到域(如默认域策略)的组策略对象(GPO冲定义这些策略,域中的所有域控制器(DC)都会处理密码策略,并且组策略对象会控制域用户账户的密码策略。当在链接到域的组策略对象中定义密码策略时,域中的所有工作站和成员服务器也会进行处理, 并为这些系统中定义的本地账户设置账户策略。(图1) 图1安全设置账户策略 大家知道,通过组策略只能定义一个域密码策略,不过,WindowsServer 2008支持一套新的密码策略对象,这些在活动目录(AD)中定义的密码策略对象为单一域提供了更加细化的密码策略控制。 (2) .本地策略 “本地策略”下有三个安全策略项,通过配置可以实现Windows系统的各种安全需求。例如,其中的“审计策略”用于配置服务器的Windows安全事件日志收集哪些事件;“用户权限分配”用于配置哪些用户能通过“远程桌面”访问指定的服务器或工作站;使用“安全选项”配置以确定是否激活指定系统上的“管理员”账户以及重命名“管理员”账户。
实验一 Windows操作系统进行安全配置 一,实验目的 理解操作系统安全对电子商务系统安全的重要性 熟悉操作系统的安全机制,以及Windows的安全策略 掌握对Windows操作系统进行安全配置的基本方法和步骤 二,实验环境 实验设备:PC机及其局域网,具备Internet连接 软件环境:Windows XP 三,实验内容 内容1:账户和密码的安全设置 1.删除不再使用的账户 (1)检查和删除不再使用的账户 “开始” →“控制面板"→“管理工具” →“计算机管理” →“本地用户和组” →“用户” →“删除其中不再使用的账户” (2)禁用Guest账户 在1.基础上→选“Guest 账户” →“属性” →“Guest属性” →“账户已停用” 2.启用账户策略 (1)密码策略 “控制面板” →“管理工具” →“本地安全策略” →“本地安全设置” →“账户策略” →“密码策略”→设置如下: 设:“密码必须符合复杂性要示”启用 设:“密码长度最小值” 8位 设:“密码最长存留期” 30天
设:“密码最短存留期” 5天 设:“强制密码历史” 3个记住的密码 (2)账户锁定策略 “控制面板” →“管理工具” →“本地安全策略” →“本地安全设置” →“账户策略” →“账户锁定策略”→设置如下: “账记锁定阈值”可抵御“对用户密码的暴力猜测”:设为“3” “复位账户锁定计数器”被锁定的账户多长时间可被复位“0”:“3分” “账户锁定时间” 被锁定后的账户,多长时间才能重新使用:“10分”
3.不自动显示上次登录的账户名 “控制面板” →“管理工具” →“本地安全策略” →“本地安全设置” →“本地策略” →“安全选项”→启用:交互式登录 4.启动密码设置 “开始” →“命令提示栏"→输入“syskey” “更新”→“密码启动”
信息安全管理策略 一. 总则 为满足银行(以下简称“我行”)信息安全管理、信息安全保障和合规的需要,根据《银行信息安全管理方针》,特制订本管理策略。目的是指导我行通过各项管理制度与措施,识别各方面的信息安全风险,并采取适当的补救措施,使风险水平降低到可以接受的程度。 二. 安全制度管理策略 2.1 目的 使信息安全管理的发展方向和相关工作能够满足我行业务要求、国家法律和规定的要求。安全制度管理应建立一套完善的、能够满足以上要求的文档体系,并定期更新,发布到我行信息安全所有相关单位中。 2.2 策略一:建立和发布信息安全管理文档体系 ?策略目标:
使相关单位人员了解到信息安全管理文档的内容,安全工作有据可依。 ?策略内容: 建立我行信息安全管理文档体系,发布到相关单位。 ?策略描述: 根据《银行信息安全管理方针》中的方针、原则和我行特点,制订出一套文档体系,包括信息安全策略、制度和实施指南等,通过培训、会议、办公系统或电子邮件等方式向相关单位发布。 总体发布范围包括与以上信息资产相关的我行所有部门、我行下属机构和关联公司,以及与我行有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他等第三方机构或人员。 2.3 策略二:更新安全制度 ?策略目标: 安全制度能够适应我行信息安全管理因各方面情况变化而产生的变化,在长期满足要求。 ?策略内容: 定期和不定期审阅和更新安全制度。 ?策略描述: 由相关团队定期进行安全制度的检查、更新,或在信息系统与相关环境发生显著变化时进行检查、更新。
三. 信息安全组织管理策略 3.1 目的 通过建立与组织相关的以下二个安全策略,促进组织建立合理的信息安全管理组织结构与功能,以协调、监控安全目标的实现。与组织有关的策略分内部组织和外部组织两部分来描述。 3.2 策略一:在组织内建立信息安全管理架构 ?策略目标: 在组织内有效地管理信息安全。 ?策略内容: 我行应建立专门的信息安全组织体系,以管理信息安全事务,指导信息安全实践。 ?策略描述: 通过建立信息安全管理组织,启动和控制组织范围内的信息安全工作的实施,批准信息安全方针、确定安全工作分工和相应人员,以及协调和评审整个组织安全的实施。 根据需要,还可以建立与外部安全专家或组织(包括相关权威人士)的联系,以便跟踪行业趋势、各类标准和评估方法;当处理信息安全事故时,提供合适的联系人和联系方式,以快速及
网络安全实验报告windows安全配置实验 姓名:孙金科 班级:信管071 学号:200780434123
实验六:windows安全配置实验 1、实验目的 掌握windows的安全设置,加固操作系统安全 2、实验内容 1、账户与密码的安全设置 2、文件系统的保护和加密 3、启用安全策略与安全模板 4、审核与日志查看 5、利用MBSA 检查和配置系统安全 3、实验环境 硬件PC机一台。 2、系统配置:操作系统windows XP专业版。 4、实验步骤 4.1 账户和密码的安全设置 1、删除不再使用的账户,禁用guest 账户 ⑴检查和删除不必要的账户 右键单击“开始”按钮,打开“资源管理器”,选择“控制面板”中的“用户和密码”项;在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用,删除其中不用的账户。 ⑵禁用guest 账户 打开“控制面板”中的“管理工具”,选中“计算机管理”中“本地用户和组”,打开“用户”,右键单击guest 账户,在弹出的对话框中选择“属性”,在弹出的对话框
中“帐户已停用”一栏前打勾。 确定后,观察guest 前的图标变化,并再次试用guest 用户登陆,记录显示的信息。 2、启用账户策略 ⑴设置密码策略 打开“控制面板”中的“管理工具”,在“本地安全策略”中选择“账户策略”;双击“密码策略”,在右窗口中,双击其中每一项,可按照需要改变密码特性的设置。根据选择的安全策略,尝试对用户的密码进行修改以验证策略是否设置成功,记录下密码策略和观察到的实验结果。 ⑵设置账户锁定策略 打开“控制面板”中的“管理工具”,在“本地安全策略”中选择“账户策略”。双击“帐户锁定策略”。 在右窗口中双击“账户锁定阀值”,在弹出的对话框中设置账户被锁定之前经过的无效登陆次数(如 3 次),以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码。 在右窗口中双击“账户锁定时间”,在弹出的对话框中设置账户被锁定的时间(如20 min )。 重启计算机,进行无效的登陆(如密码错误),当次数超过 3 次时,记录系统锁定该账户的时间,并与先前对“账户锁定时间”项的设置进行对比。 3.开机时设置为“不自动显示上次登陆账户” 右键单击“开始”按钮,打开“资源管理器”,选中“控制面板”,打开“管理工具”选项,双击“本地安全策略”项,选择“本地策略”中的“安全选项”,并在弹出的窗口右侧列表中选择“登陆屏幕上不要显示上次登陆的用户名”选项,启用该设置。设置完毕后,重启机器看设置是否生效。 4.禁止枚举账户名 右键单击“开始”按钮,打开“资源管理器”,选中“控制面板”,打开“管理工具”选项,双击“本地安全策略”项,选择“本地策略”中的“安全选项”,并在弹出的窗口右侧列表中选择“对匿名连接的额外限制”项,在“本地策略设置”中选择“不允许
摘要:探讨造船业安全管理的有效策略,提升造船业的管理效率。通过分析当前造船业在安全管理过程中存在的问题,提出有针对性的管理对策,包括加强政策引导程度、提升行业领导力、提升安全资金投入程度、加大安全监管力度等。 关键词:造船业;安全管理;船舶 中图分类号:u673.4 文献标识码:a safety management strategy of shipbuilding industry zheng jiankun (cccc guangzhou dredging co., ltd. guangzhou 510220) 造船业是集技术、工种、人员于一体的密集性产业,其中关系到高空作业、起重、焊接、切割加工等很多专业性强及危险性大的工种,容易发生安全事故,造成人身伤亡、设备财产损坏的状况。造船中的安全管理是其非常重要的一个环节,也是船舶建造过程中重要的质量保障。 1 造船业安全管理中存在的问题 1.1 造船业风险高、效益低 造船过程中不仅有高空作业、起重作业、电焊作业等,还有露天作业、交叉作业等多种方式,同时在工作场所还存在使用油漆、气体等多种有毒物品,其工作的环境条件非常恶劣,存在着高风险。同时造船业也是一种低效益的行业,其产生的经济效益普遍较低,有的企业为了能够获得更大的利益就会在安全投入上减少资金,尤其是许多小型船厂。 1.2 造船质量急需提升 船舶建造是造船业安全管理中最重要的一个环节,必须按照有关的规范、规则和一些规范性的文件来进行。造船业的安全管理同船舶的质量紧密联系,有的企业存在安全技术装备老化落后,甚至无视安全环境带病进行作业,不仅影响造船安全,也会影响到船舶修造质量,对船舶的航行安全带来损害。 1.3 从业人员流动性大 目前在造船行业中人员的流动快。由于船舶的放样、电焊、组装、下水等工种大多是外包的专业施工队来进行施工,随着利益的不断驱使,在一线造船工人不断流动及更换,对于造船业安全管理的有效实施无法做到连续开展。在这些外包的专业施工队伍中很多都是农民工,针对所造船舶的型号、要求的改变,其修造船的安全环境以及条件都会相应地改变。 2 造船业的安全管理策略 针对目前船舶修造业中安全管理中存在的问题,为了防止安全生产事故的发生,需要采取一定的策略来提升造船业的安全管理程度。 2.1 加强政策引导 首先要利用好我国对于造船业的政策变化这样一个大好机会,根据企业的实际情况制定出一套符合企业安全生产的政策。造船企业要调整当前的产业结构,适度地提升入业门槛,根据当前市场经济的发展法则,针对市场的准入机制进行规范,实施淘汰机制,通过相关政策进行引导以及采用法律法规来进行支撑,大力推进标准化建设,避免企业之间形成不良的竞争,促进造船企业逐渐跨入良性的发展道路,提升造船业的安全生产管理水平。 2.2 提升行业领导力 造船业要加强安全管理必须提升行业的领导力度,首先要强化政府的领导地位,设立相应的船舶管理部门。其次要实行行业管理,由政府牵头,建立起船舶行业方面的管理协会,由其来监督实施有效的安全生产管理工作。 要实施注册安全主任进行代理的制度,帮助船舶修造企业完善相应的安全生产管理机制,设立安全台帐,按时进行安全生产方面的检查工作,及时消除安全隐患。要加大对船舶管理
系统安全配置技术规范—Windows
212211文档说明(一)变更信息 (二)文档审核人
目录 1.适用范围 (5) 2.帐号管理与授权 (5) 2.1【基本】删除或锁定可能无用的帐户 (5) 2.2【基本】按照用户角色分配不同权限的帐号 (5) 2.3【基本】口令策略设置不符合复杂度要求 (6) 2.4【基本】设定不能重复使用口令 (6) 2.5不使用系统默认用户名 (6) 2.6口令生存期不得长于90天 (6) 2.7设定连续认证失败次数 (7) 2.8远端系统强制关机的权限设置 (7) 2.9关闭系统的权限设置 (7) 2.10取得文件或其它对象的所有权设置 (7) 2.11将从本地登录设置为指定授权用户 (8) 2.12将从网络访问设置为指定授权用户 (8) 3.日志配置要求 (8) 3.1【基本】审核策略设置中成功失败都要审核 (8) 3.2【基本】设置日志查看器大小 (9) 4.IP协议安全要求 (9) 4.1开启TCP/IP筛选 (9) 4.2启用防火墙 (10) 4.3启用SYN攻击保护 (10) 5.服务配置要求 (11) 5.1【基本】启用NTP服务 (11) 5.2【基本】关闭不必要的服务 (11) 5.3【基本】关闭不必要的启动项 (11) 5.4【基本】关闭自动播放功能 (12) 5.5【基本】审核HOST文件的可疑条目 (12) 5.6【基本】存在未知或无用的应用程序 (12) 5.7【基本】关闭默认共享 (13) 5.8【基本】非EVERYONE的授权共享 (13) 5.9【基本】SNMP C OMMUNITY S TRING设置 (13) 5.10【基本】删除可匿名访问共享 (13) 5.11关闭远程注册表 (14) 5.12对于远程登陆的帐号,设置不活动断开时间为1小时 (14) 5.13IIS服务补丁更新 (14) 6.其它配置要求 (14) 6.1【基本】安装防病毒软件 (14) 6.2【基本】配置WSUS补丁更新服务器 (15) 6.3【基本】S ERVICE P ACK补丁更新 (15) 6.4【基本】H OTFIX补丁更新 (15) 6.5设置带密码的屏幕保护 (16)